itooktheredpill

Rauchverbote Visualisiert

Hagen Fritsch — Fri, 20 Nov 2009 20:54:54 +0000

Nachdem ich Visualisierungen prima finde und nicht zuletzt jedem informationisbeautiful.net nur ans Herz legen kann, habe ich da die Debatte über das Rauchverbot gerade wieder voll im Gang ist, mal die Situation der einzelnen Bundesländer farblich auf der Karte gekennzeichnet. Und wer will schon in so einem braunem Sumpf leben?

Ja, ich weiß man könnte die Grafik noch viel schöner machen, in dem man Icons für die einzelnen Gründe der Abwertungen in die Bundesländer setzt. Vielleicht mach ich das auch mal, aber das wär’ ein deutlicher Mehraufwand und momentan muss das erstmal so reichen.

Stundenplanprinter: Pimped

Hagen Fritsch — Fri, 20 Nov 2009 09:01:16 +0000

Es gab da mal von meiner Informatikfakultät so ein nettes Tool um sich einen hübschen Stundenplan erstellen zu lassen. Dieses Tool ist aber auch in die Jahre gekommen und abgesehen von der doch etwas hässlichen Java GUI, mag es niemanden der nicht latin1 mit ihm spricht und verhaut daher mal eben alle Umlaute im späteren Postscript-Dokument, was wenn man es denn wirklich benutzen will zu ellenlangen iconv-Orgien führt.

Da bei mir so Java-GUIs ohnehin immer rumzicken, hab ich also kurzer Hand ein jython Programm geschrieben, das den alten Code der Anwendung benutzt, aber auf die gesamte GUI verzichtet. Im Ergebnis steht ein Programm, das nun den iso8859-1 Schmarn ad acta legt und fix auf der Konsole das gewünschte Ergebnis liefert.

$ ./s2ps.py > stundenplan.ps
--- Montag
08:30 - 10:00 Data Mining # MI 00.13.009A
14:45 - 15:15 Arabisch C1 # Sprachlabor Innenstadt
--- Dienstag
08:15 - 09:45 Effiziente Algorithmen # MI 00.13.009A
10:15 - 11:45 Bildverstehen # MI 00.13.009A
12:00 - 14:00 EA Übung # MI 03.11.018
--- Mittwoch
10:15 - 11:45 Sprachenbasierte Sicherheit # MI 02.07.014
12:15 - 13:45 Bildverstehen # MI 00.13.009A
14:15 - 15:45 Netzsicherheit # MI 00.08.038
--- Donnerstag
08:15 - 09:45 Effiziente Algorithmen # MI 00.13.009A
10:00 - 11:00 Übung Sprachenbasierte Sicherheit # MI 02.07.014
14:00 - 16:00 Rechnernetze Tutor # OE 1.27
--- Freitag
12:00 - 13:30 Arabisch C1
$ pstopdf stundenplan.ps

Das Ergebnis seht ihr auf der rechten Seite.

Das Tool liegt im git zum Download:

s2ps.jar
s2ps.py
README
mit Installations- und Benutzungshinweisen

Bypassing Buffer Overflow Protection Techniques on linux_x86_64

Hagen Fritsch — Fri, 17 Apr 2009 12:44:51 +0000

The result of my Black Hat presentation on the current protection measures in place in current linux boxes would be that systems are overall very secure as NX/DEP is deployed in every process without any exceptions, ASLR is in place by default and Stack Canary values additionaly add to security.

However, there are still some flaws that are yet to be fixed:

ASLR should be implemented for every page in memory. Currently exceptions are code and data sections of binaries and also the vsyscall page.
The kernel random number generator used for randomizations in ASLR is not as random as one expects, which allows to bypass ASLR protection, if an attacker already has local access to the system. Details on the vulnerability can be found in the according paper: Bypassing ASLR by predicting a process’ randomization
Stack Cookies (and this seems to be consistant with other implementations of SSP) do only protect char[] buffers with a size greater 4. There is no protection for e.g. short, int or void * buffers, which might allow some vulnerabilities to be exploitable, because SSP is not applied to the function unless the conditions stated above apply.
As the master canary is initialized in major Linux OS with the poor man’s randomization patch, which mainly relies on ASLR to supply randomness, an attacker can also bypass this protection using the ASLR bypassing described above.

More details can be found in either:

SemesterTicketGenerator Reloaded

Hagen Fritsch — Wed, 04 Mar 2009 22:05:12 +0000

Auch wenn die Verhandlungen über ein Semesterticket in München wieder aufgenommen wurden, sind Ergebnisse nach dem plötzlichen Abbruch der Verhandlungen im letzten Jahr noch in weiter ferne. Grund genug also, das Pilotprojekt SemesterTicketGeneratR zu verlängern und für das Sommersemester 2009 zu rüsten. Damit auch diejenigen nicht zu kurz kommen, die an der LMU studieren, gibt es sogar eine LMU-Ausgabe des Semestertickets, wenn man als Ausbildungsstätte LMU angibt.

Entropiepool des Klavierspielens

Hagen Fritsch — Sun, 15 Feb 2009 12:30:54 +0000

Als Informatikstudent erreicht man irgendwann einen Punkt im Leben, an dem einem auffällt, wie sehr man vom Studium beeinflusst wird. Das fängt mit dem „normalen“ Leet-Geschwätz à la „LOL – WTF?“ und diversen Witzen über lustige Katzen, geht dann soweit dass man wahrnimmt, dass Kochrezepte eigentlich auch nur Algorithmen sind und wenn man nicht nur im Verkehr sondern auch beim Laufen des öfteren von congestion avoidance redet, ist es wohl ohnehin schon zu spät.

Nachdem ich gerade in einer gestressten Lernphase bin, kam ich seit über einem Monat nicht mehr dazu, Klavier zu spielen und das obwohl ein schönes Exemplar dieser Instrumente bei uns vorhanden ist. Nichtsdestoweniger zog es mich hinunter zum Spielen. Nahezu in Trance (FLOW-Erleben war’s auf jeden Fall) improvisierte ich also vor mich hin und die Idee sprudelten einfach, bzw. die Finger erzeugten Melodien, atmosphärische Voicings und mitreißende Rhythmen – und das alles ohne großartig nachzudenken. In Retrospektive ist mir schon öfter aufgefallen, dass Improvisationen kreativer sind, wenn ich länger nicht gespielt habe. Man könnte jetzt also Kreativität als regenerative Ressource betrachten. Ich glaube aber zusätzlich, dass Menschen ganz ähnlich dem Linux-Kernel über die Zeit immer schön Entropiebits sammeln, die dann natürlich auch verbraucht werden können. Und wenn sie alle sind und nicht mehr genug randomness vorhanden ist, können logischerweise auch kreative Prozesse nicht mehr mit maximaler Effizienz arbeiten.

Jetzt müsste man nur noch wissen, woher der Mensch seine Entropie bezieht. Leider ist er nicht Open-Source und reverse-engineering ist da ja bekanntlich schwierig.

Struggling with SSH login delays

Hagen Fritsch — Tue, 10 Feb 2009 11:42:31 +0000

You know, it really sucks when you log into a machine and for some reason there is a delay before the connection is fully functional. This happend to the SSH of a server to which I frequently connect, delaying my connections for 8 to 30 seconds. Again it sucked, up to a degree where I decided to track down the issue and fix it. Google told me, it’s reverse DNS mappings and I should set UseDNS no in the sshd_config, but that didn’t work (and besides, reverse DNS can’t be that slow…).

So running /usr/sbin/sshd -d showed me, that it’s hanging while the pam login is performed. But no hints from that. Running sshd in strace showed me it’s polling from /var/run/dbus/system_bus_socket. So I restarted dbus and the issue was fixed. I don’t know though how it came to the problem in the first place.

Hello world!

Hagen Fritsch — Sun, 25 Jan 2009 10:39:07 +0000

Hello and welcome everybody,

itooktheredpill webpages are about to reappear here soon. Old and new exiting content will be seen, so be sure to check back in couple of days.

There is also a backup of the old homepage with most of the content being accessable.